red-team-tactics

Red Team Tactics - 红队战术指南

技能概述

基于 MITRE ATT&CK 框架的红队战术技能，提供完整的对手模拟方法论，涵盖从侦察到影响的全攻击链、防御规避技术和专业报告原则。

适用场景

1. 企业安全评估

帮助企业通过真实攻击模拟发现防御盲点，评估安全监控和响应能力，识别检测 gaps。

2. 红队演练执行

为红队成员提供结构化的攻击方法论，确保演练覆盖 MITRE ATT&CK 各阶段，保持专业性和可控性。

3. 安全团队培训

帮助蓝队理解对手战术技术，改进检测规则，提升整体防御能力。

核心功能

1. MITRE ATT&CK 攻击链

提供完整的攻击生命周期框架，从侦察、初始访问到执行、持久化、权限提升、防御规避、凭证获取、发现、横向移动、数据收集、C2 通信、数据外渗到影响，每个阶段都有明确的战术目标和技术选择指南。

2. 防御规避与横向移动

涵盖 LOLBins 利用、代码混淆、时间戳伪造等规避技术，以及凭证重用、哈希传递、票据传递等多种横向移动方法，同时强调行动安全和道德边界。

3. 专业报告与道德规范

提供结构化的红队报告撰写指南，包括攻击叙事、检测差距分析和改进建议，明确演练范围、影响最小化原则和职业道德边界。

常见问题

什么是红队战术？

红队战术是模拟真实攻击者的方法论，基于 MITRE ATT&CK 框架，通过对手演练来评估和改进组织的安全防御能力。与恶意攻击不同，红队演练遵循严格的道德规范，在约定范围内进行，目标是帮助组织发现安全漏洞而非造成实际损害。

红队演练和渗透测试有什么区别？

虽然两者都涉及安全评估，但有本质区别：渗透测试侧重于发现和利用技术漏洞，通常以获取特定权限为目标；而红队演练更侧重于模拟完整攻击链，测试组织的检测和响应能力，强调隐蔽性和持久化，往往持续更长时间并更接近真实对手行为。

红队演练中的道德边界是什么？

红队演练必须始终遵守以下原则：仅在约定范围内操作、最小化对生产环境的影响、发现真实威胁时立即报告、完整记录所有行动。禁止破坏生产数据、拒绝服务攻击（除非明确授权）、超出概念验证范围的操作或保留敏感数据。